Приложение 1
к письму Банка России
"О форме договора об обмене
ЭС при переводе денежных
средств в рамках платежной
системы Банка России"

(применяется с 1 августа 2024 года)

Договор
об обмене электронными сообщениями при переводе денежных
средств в рамках платежной системы Банка России
N __________________

г. ________________
"__" __________________ г.

    Центральный  банк  Российской  Федерации  (Банк  России),  именуемый  в
дальнейшем   "Банк",   в   лице  __________________________________________
__________________________________________________________________________,
   (должность, фамилия, имя, отчество (при наличии) представителя Банка)
действующего(ей) на основании доверенности от "__" _____________________ г.
N ______________________, с одной стороны, и ______________________________
________________________________________________________________, именуемый
      (полное (сокращенное) наименование юридического лица)
в дальнейшем "Клиент", в лице ____________________________________________,
                                   (должность, фамилия, имя, отчество
                                     наличии) представителя Клиента)
действующего(ей) на основании _____________________________________________
__________________________________________________________________________,
           (наименование и реквизиты документа (если присвоены)
с  другой  стороны  (далее  при совместном упоминании - Стороны), заключили
настоящий договор (далее - Договор) о нижеследующем.

Глава 1. Предмет Договора

1.1. Договор определяет условия осуществления обмена электронными сообщениями (далее - ЭС) при взаимодействии Сторон при предоставлении Банком Клиенту доступа к услугам по переводу денежных средств с использованием распоряжений в электронном виде при переводе денежных средств в рамках платежной системы Банка России, а также требования к защите информации при осуществлении указанного обмена ЭС.

1.2. Отношения Сторон в рамках Договора регулируются законодательством Российской Федерации, нормативными актами и иными документами Банка России, в том числе правилами платежной системы Банка России, Договором, а также Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/development/mcirabis/Involve_EM/ (далее - Условия передачи ПО), и Условиями по защите информации при обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, приведенными в приложении 1 к Договору (далее - Условия по защите информации).

1.3. Доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде предоставляется Клиенту путем обмена ЭС при переводе денежных средств в рамках платежной системы Банка России по банковскому (корреспондентскому) счету (субсчету) Клиента _________________________ (далее - Счет) <1>.

--------------------------------

<1> Указываются номер банковского (корреспондентского) счета (субсчета), номер и дата договора банковского (корреспондентского) счета (субсчета).

При организации обмена ЭС при осуществлении перевода денежных средств по нескольким счетам Клиента перечень номеров банковских (корреспондентских) счетов, номера и даты договоров банковского (корреспондентского) счета (субсчета) указываются в приложении к Договору в произвольной форме.

При наличии у Клиента нескольких банковских счетов, открытых на основании одного договора банковского счета на одном балансовом счете второго порядка, вместо номера банковского счета может указываться номер балансового счета второго порядка.

1.4. В соответствии с условиями Договора осуществляется обмен ЭС, включенными в Альбом унифицированных форматов электронных банковских сообщений (далее - Альбом ЭС), размещенный в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/development/Formats/, в том числе, если их применение предусмотрено договором на кассовое обслуживание <2>.

--------------------------------

<2> Слова "в том числе, если их применение предусмотрено договором на кассовое обслуживание" включаются в Договор с Клиентом, применяющим обмен ЭС при осуществлении кассовых операций.

1.5. Банк направляет новую редакцию Условий передачи ПО (изменения к ним), новую редакцию Условий по защите информации (изменения к ним) Клиенту на согласование не позднее чем за шестьдесят календарных дней до дня, с которого предполагается применение новой редакции Условий передачи ПО (изменений к ним), новой редакции Условий по защите информации (изменений к ним) одним из указанных ниже способов, доступных Клиенту:

с использованием личного кабинета <3>;

--------------------------------

<3> Абзац не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

через систему межведомственного электронного документооборота (далее - МЭДО);

письмом на бумажном носителе, подписанным руководителем Банка (лицом, его замещающим) или уполномоченным Банком лицом и заверенным печатью.

Клиент в подтверждение согласования документов, указанных в абзаце первом настоящего пункта, направляет в Банк соответствующую информацию в письменном виде не позднее чем за десять календарных дней до дня, с которого предполагается применение новой редакции Условий передачи ПО (изменений к ним), новой редакции Условий по защите информации (изменений к ним), одним из указанных выше способов.

Разногласия в процессе согласования документов, указанных в абзаце первом настоящего пункта, подлежат урегулированию путем переговоров в срок, не превышающий пятидесяти календарных дней со дня их направления Клиенту.

1.6. В Договоре используются термины в значениях, установленных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", сокращения в значениях, применяемых правилами платежной системы Банка России.

Глава 2. Условия обмена ЭС при переводе денежных средств
в рамках платежной системы Банка России

2.1. Стороны осуществляют обмен ЭС при переводе денежных средств в рамках платежной системы Банка России в соответствии с правилами платежной системы Банка России и графиком функционирования платежной системы Банка России <4>.

--------------------------------

<4> Для счетов, обслуживаемых полевыми учреждениями Банка России, с учетом установленного времени выполнения отдельных процедур.

2.2. Информация о регламенте функционирования платежной системы Банка России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/PSystem/payment_system/.

2.3. Информация об отдельном графике функционирования платежной системы Банка России в выходные, нерабочие праздничные дни, нерабочие дни в соответствии с законодательством Российской Федерации размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/news/, вкладка "Пресс-релизы".

2.4. Информация об объявлении на территории отдельных субъектов Российской Федерации нерабочих (праздничных) дней или перенесенных выходных дней в случае совпадения выходных и нерабочих (праздничных) дней на территории данных субъектов Российской Федерации размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/PSystem/payment_system/.

2.5. Условия участия в обмене ЭС Клиента.

2.5.1. Клиент для участия в обмене ЭС выполняет следующие действия.

2.5.1.1. Для обеспечения функционирования автоматизированного рабочего места обмена ЭС с платежной системой Банка России (далее - АРМ обмена):

получает программное обеспечение (далее - ПО) для АРМ обмена, средства криптографической защиты информации (далее - СКЗИ), эксплуатационную документацию в соответствии с Условиями передачи ПО;

самостоятельно комплектует АРМ обмена аппаратными, системными, сетевыми и телекоммуникационными средствами в соответствии с эксплуатационной документацией с учетом рекомендаций, передаваемых Клиенту (получаемых Клиентом) в соответствии с Условиями передачи ПО.

2.5.1.2. Направляет в произвольной форме в подразделение Банка, обслуживающее Счет <5>, контактные данные работников, уполномоченных взаимодействовать с Банком по вопросам подготовки к участию в обмене ЭС, одним из указанных ниже способов, доступных Клиенту:

--------------------------------

<5> Подразделение Банка, обслуживающее Счет, в соответствии с договором банковского (корреспондентского) счета (субсчета), заключенным между Клиентом и Банком (далее - подразделение Банка, обслуживающее Счет).

с использованием личного кабинета <6>;

--------------------------------

<6> Абзац второй подпункта 2.5.1.2 пункта 2.5 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

через МЭДО;

письмом по электронной почте на адрес, указанный в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору), с досылкой письма с использованием личного кабинета, через МЭДО или на бумажном носителе, подписанного руководителем Клиента (лицом, его замещающим) или иным уполномоченным на это лицом и заверенного печатью (при наличии) (если Клиент не имеет технической возможности направить сообщение указанными выше способами);

письмом на бумажном носителе, подписанным руководителем Клиента (лицом, его замещающим) или иным уполномоченным на это лицом и заверенным печатью (при наличии) (если Клиент не имеет технической возможности направить сообщение указанными выше способами).

2.5.1.3. Назначает ответственных лиц в случаях, предусмотренных Условиями по защите информации, и направляет в Банк уведомление о их назначении согласно Условиям по защите информации.

2.5.1.4. Выполняет требования к защите информации и информирует Банк об их выполнении в соответствии с Условиями по защите информации.

2.5.1.5. Проводит тестовые испытания в соответствии со Сценарием проверок взаимодействия участников обмена с платежной системой Банка России во взаимодействии со стендом совмещенного тестирования платежной системы Банка России, размещенным в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/development/mcirabis/Involve_EM/ (далее - тестовые испытания) <7>.

--------------------------------

<7> Подпункт 2.5.1.5 пункта 2.5 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

2.5.1.6. По окончании тестовых испытаний, предусмотренных подпунктом 2.5.1.5 пункта 2.5 Договора, проводит с Банком обмен ЭС путем направления запроса-зонда, предусмотренного Альбомом ЭС. <8>

--------------------------------

<8> Подпункт 2.5.1.6 пункта 2.5 Договора, слова "и направлении запроса-зонда" в подпункте 2.5.1.7 пункта 2.5 Договора, слова "и направлении запроса-зонда" в подпункте 2.5.2.2 пункта 2.5 Договора применяются для счетов, обслуживаемых полевыми учреждениями Банка России, при наличии технической возможности, при этом запрос-зонд направляется не позднее операционного дня, предшествующего операционному дню начала обмена ЭС.

2.5.1.7. Представляет в Банк в произвольной форме письмо, содержащее информацию об успешном завершении тестовых испытаний и направлении запроса-зонда <8>, предусмотренных подпунктами 2.5.1.5 и 2.5.1.6 пункта 2.5 Договора, а также дату начала обмена ЭС, одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

2.5.2. Банк для участия Клиента в обмене ЭС выполняет следующие действия.

2.5.2.1. Обеспечивает со стороны Банка возможность выполнения Клиентом мероприятий, предусмотренных подпунктом 2.5.1 пункта 2.5 Договора.

2.5.2.2. При условии успешного завершения тестовых испытаний и направлении запроса-зонда <8> в соответствии с подпунктами 2.5.1.5 и 2.5.1.6 пункта 2.5 Договора после получения информации, предусмотренной подпунктом 2.5.1.7 пункта 2.5 Договора, регистрирует Клиента в качестве участника обмена и доводит до Клиента в произвольной форме информацию об уникальном идентификаторе составителя ЭС одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.5.2.3. Направляет Клиенту Сведения для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору) одним из указанных ниже способов, доступных Клиенту:

с использованием личного кабинета <9>;

--------------------------------

<9> Абзац второй подпункта 2.5.2.3 пункта 2.5 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

через МЭДО;

письмом по электронной почте с досылкой письма с использованием личного кабинета, через МЭДО или на бумажном носителе, подписанного уполномоченным Банком лицом и заверенного печатью, не позднее рабочего дня, следующего за днем его направления по электронной почте (если Клиент не имеет технической возможности принять сообщение указанными выше способами);

письмом на бумажном носителе, подписанным уполномоченным Банком лицом и заверенным печатью (если Клиент не имеет технической возможности принять сообщение указанными выше способами).

2.5.2.4. Информирует Клиента о дате начала обмена ЭС в произвольной форме одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.6. Стороны при обмене ЭС используют актуальную нормативно-справочную информацию.

2.7. Клиент направляет обращение о продлении времени окончания стандартного периода регулярного сеанса платежной системы Банка России и (или) времени окончания периода урегулирования регулярного сеанса платежной системы Банка России для завершения перевода денежных средств в течение продленного времени на основании распоряжений, поступивших в Банк России (далее - обращение о продлении), в электронном виде путем направления обращения о продлении по электронной почте <10> на адрес, указанный в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору), с досылкой одним из способов, указанных в абзацах втором, третьем или пятом подпункта 2.5.1.2 пункта 2.5 Договора, в подразделение Банка, обслуживающее Счет, обращения о продлении, подписанного руководителем Клиента (лицом, его замещающим), не позднее следующего рабочего дня после дня его направления по электронной почте.

--------------------------------

<10> При невозможности направления обращения о продлении способом, указанным в абзаце первом пункта 2.7 Договора, указанное обращение направляется любым другим доступным способом, обеспечивающим передачу необходимой информации.

Обращение о продлении направляется Клиентом в Банк не позднее чем за тридцать минут до времени, которое необходимо продлить <11>.

--------------------------------

<11> Для счетов, обслуживаемых полевыми учреждениями Банка России, обращение о продлении направляется Клиентом в подразделение Банка, обслуживающее Счет, не позднее чем за один час до времени, которое необходимо продлить.

2.8. Банк отказывает Клиенту в продлении времени окончания стандартного периода регулярного сеанса платежной системы Банка России и (или) времени окончания периода урегулирования регулярного сеанса платежной системы Банка России в случае несоблюдения Клиентом условий, изложенных в пункте 2.7 Договора.

2.9. Банк направляет Клиенту не позднее двух часов после окончания времени приема к исполнению распоряжений в электронном виде, установленного графиком функционирования платежной системы Банка России, информацию о задержке направления уведомлений, извещений и подтверждений, касающихся процедур определения платежной клиринговой позиции и исполнения распоряжений, одним из указанных ниже способов, доступных Клиенту:

путем направления ЭС;

путем размещения информации в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/development/mcirabis/nreg/.

2.10. Прием и возврат Банком Клиенту отчуждаемых машинных носителей информации (далее - ОМНИ), содержащих распоряжения, уведомления и извещения в электронном виде, осуществляются через подразделение Банка, указанное в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору), от уполномоченных (уполномоченным) на это Клиентом лиц (лицам).

2.11. Банк передает Клиенту в составе Сведений для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору) информацию:

о времени начала и окончания приема ЭС на ОМНИ;

о времени начала и окончания возврата ОМНИ, содержащих ЭС, по итогам выполнения процедур приема к исполнению и исполнения распоряжений;

о видах ОМНИ, которые могут использоваться Клиентом для обмена ЭС;

о подразделении Банка, осуществляющем прием и возврат ОМНИ.

2.12. В случае запланированного Клиентом перехода на обмен ЭС с использованием ОМНИ по причине невозможности обмена ЭС по каналам связи:

Клиент уведомляет Банк путем направления заявления о переходе на обмен ЭС с использованием ОМНИ (с указанием причины, даты начала и длительности обмена ЭС с использованием ОМНИ) не позднее рабочего дня, предшествующего дню начала обмена ЭС на ОМНИ, в произвольной форме одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту;

Банк уведомляет Клиента о переходе на обмен ЭС с использованием ОМНИ не позднее окончания регулярного сеанса платежной системы Банка России рабочего дня, предшествующего рабочему дню начала обмена ЭС с Клиентом с использованием ОМНИ (с указанием даты начала и длительности использования ОМНИ по причине невозможности обмена ЭС по каналам связи), одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.13. В случае если Клиенту требуется осуществить незапланированный переход на обмен ЭС с использованием ОМНИ по причине невозможности обмена ЭС по каналам связи:

Клиент уведомляет Банк путем направления заявления в произвольной форме (с указанием причины, даты и времени начала обмена ЭС с использованием ОМНИ) на электронный адрес, указанный в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору), с досылкой письма на бумажном носителе, подписанного руководителем Клиента (лицом, его замещающим) или уполномоченным на это лицом и заверенного печатью (при наличии), не позднее рабочего дня, следующего за днем его направления по электронной почте;

Банк уведомляет Клиента одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту, о переходе на обмен ЭС с использованием ОМНИ не позднее окончания регулярного сеанса платежной системы Банка России текущего рабочего дня.

2.14. Переход с обмена ЭС с использованием ОМНИ на обмен ЭС по каналам связи осуществляется Клиентом не позднее рабочего дня, следующего за днем возобновления возможности Клиента осуществлять обмен ЭС по каналам связи.

2.15. Банк не осуществляет с Клиентом обмен ЭС с использованием ОМНИ и отказывает Клиенту в приеме от него ЭС на ОМНИ при наличии возможности обмена ЭС по каналам связи, а также при выявлении Банком на ОМНИ вредоносного кода.

2.16. Участие Клиента в обмене ЭС ограничивается Банком в случаях, определенных правилами платежной системы Банка России.

2.17. Участие Клиента в обмене ЭС приостанавливается Банком в случаях, определенных правилами платежной системы Банка России.

2.18. В случае приостановления участия Клиента в обмене ЭС с Клиентом в соответствии с правилами платежной системы Банка России приостанавливается обмен всеми ЭС, в том числе ЭС по кассовым операциям <12>.

--------------------------------

<12> Слова "в том числе ЭС по кассовым операциям" включаются в Договор с Клиентом, применяющим обмен ЭС при осуществлении кассовых операций.

2.19. Банк уведомляет Клиента об ограничении, приостановлении и возобновлении участия в обмене ЭС не позднее дня введения ограничения, приостановления и возобновления участия в обмене ЭС одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.20. Банк уведомляет Клиента о приостановлении и возобновлении участия в обмене ЭС в случае несоблюдения Клиентом требований к защите информации в соответствии с Условиями по защите информации.

2.21. Клиент направляет в Банк обращение о приостановлении (ограничении) обмена ЭС с указанием причины и предполагаемого срока приостановления (ограничения) участия в обмене ЭС, а также обращение о возобновлении участия в обмене ЭС, за исключением периода времени начиная с окончания завершающего сеанса операционного дня платежной системы Банка России, предшествующего выходному или нерабочему праздничному дню, до начала предварительного сеанса операционного дня платежной системы Банка России, следующего за выходным или нерабочим праздничным днем, и за исключением случаев несоблюдения Клиентом требований к защите информации, на электронный адрес, указанный в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору), с представлением в подразделение Банка, обслуживающее Счет, обращения о приостановлении (ограничении, возобновлении) участия в обмене ЭС не позднее следующего рабочего дня после дня его направления по электронной почте способом, указанным в абзацах втором, третьем или пятом подпункта 2.5.1.2 пункта 2.5 Договора.

2.22. Клиент направляет в Банк обращение о приостановлении (ограничении) обмена ЭС с указанием причины и срока приостановления (ограничения) участия в обмене ЭС, а также обращение о возобновлении обмена ЭС в течение периода времени начиная с окончания завершающего сеанса операционного дня платежной системы Банка России, предшествующего выходному или нерабочему праздничному дню, до начала предварительного сеанса операционного дня платежной системы Банка России, следующего за выходным или нерабочим праздничным днем, за исключением случаев несоблюдения Клиентом требований к защите информации, путем направления обращения в единую службу поддержки пользователей (ЕСПП) на адрес электронной почты helpdeskmci@cbr.ru с представлением в подразделение Банка, обслуживающее Счет, обращения о приостановлении (ограничении, возобновлении) обмена ЭС не позднее следующего рабочего дня после дня его направления по электронной почте способом, указанным в абзацах втором, третьем или пятом подпункта 2.5.1.2 пункта 2.5 Договора <13>.

--------------------------------

<13> Пункт 2.22 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

2.23. В случае несоблюдения Клиентом требований к защите информации при переводе денежных средств в рамках платежной системы Банка России Клиент направляет обращение о приостановлении обмена ЭС с указанием причины и срока приостановления участия в обмене ЭС, а также обращение о возобновлении обмена ЭС после приостановления участия в обмене ЭС в соответствии с Условиями по защите информации.

2.24. Клиент осуществляет выверку исполненных распоряжений и извещений об исполнении распоряжений (извещений об операциях зачисления и списания денежных средств) в электронном виде не позднее рабочего дня, следующего за днем предоставления Банком возможности получения Клиентом распоряжений и извещений об исполнении распоряжений (извещений об операциях зачисления и списания денежных средств) в электронном виде, и в случае отрицательных результатов выверки не позднее рабочего дня, следующего за днем выверки, направляет в подразделение Банка, обслуживающее Счет, письмо об отрицательных результатах выверки одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

2.25. Банк устанавливает причины расхождения исполненных распоряжений и извещений об исполнении распоряжений (извещений об операциях зачисления и списания денежных средств) в электронном виде при поступлении от Клиента письма об отрицательных результатах выверки и извещает Клиента о дальнейших действиях Клиента и Банка одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.26. Банк считает успешной выверку исполненных распоряжений и извещений об исполнении распоряжений (извещений об операциях зачисления и списания денежных средств) в электронном виде при непоступлении от Клиента письма об отрицательных результатах выверки в течение трех рабочих дней со дня предоставления Банком возможности получения Клиентом распоряжений и извещений об исполнении распоряжений (извещений об операциях зачисления и списания денежных средств) в электронном виде.

2.27. При необходимости Клиент представляет в Банк обращение о направлении ему в электронном виде извещений об операциях зачисления и списания денежных средств при отсутствии операций по Счету:

по итогам операционного дня;

по итогам внутридневных консолидированных и (или) завершающего консолидированного рейсов <14>;

--------------------------------

<14> Абзац третий пункта 2.27 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

по запросу Клиента.

Клиент представляет в Банк обращение о направлении ему в электронном виде извещений об операциях зачисления и списания денежных средств при отсутствии операций по Счету одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

При неполучении Банком от Клиента обращения, указанного в абзаце первом настоящего пункта, извещение об операциях зачисления и списания денежных средств при отсутствии операций по Счету Клиенту не предоставляется.

2.28. Клиент получает от Банка извещения об операциях зачисления и списания денежных средств в электронном виде, а также исполненные распоряжения:

по счетам, отличным от Счета Клиента, указанного в пункте 1.3 Договора, если получение таких извещений Клиентом предусмотрено нормативными актами Банка России и (или) иными договорами, заключенными Клиентом с Банком;

по Счету Клиента, указанному в пункте 1.3 Договора, с ограниченным режимом функционирования.

2.29. Клиент представляет в подразделение Банка, обслуживающее Счет, подписанное руководителем Клиента (лицом, его замещающим) или уполномоченным на это лицом и заверенное печатью (при наличии) заявление с указанием БИК и номера счета (номеров счетов), по которому (по которым) ему необходимо получение извещений об операциях зачисления и списания денежных средств, а также исполненных распоряжений, наименование подразделения Клиента, по операциям которого предоставляются извещения об операциях зачисления и списания денежных средств, наименование подразделения Банка, где располагается подразделение Клиента, в произвольной форме одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

В заявлении указываются номер, дата договора, в соответствии с которым предоставляются извещения об операциях зачисления и списания денежных средств Клиента (подразделения Клиента), или номер, дата и наименование нормативного акта Банка России, в соответствии с которым предоставляются извещения об операциях зачисления и списания денежных средств Клиента (подразделения Клиента).

Банк информирует в письменном виде Клиента о дате начала направления извещений об операциях зачисления и списания денежных средств в электронном виде, а также исполненных распоряжений одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.30. Для направления Банком Клиенту в электронном виде извещений об операциях зачисления и списания денежных средств на корреспондентский счет (субсчет) кредитной организации (ее филиала) с ограниченным режимом функционирования, а также исполненных распоряжений Клиент представляет в Банк обращение с указанием следующего:

БИК и номера корреспондентского счета (субсчета) с ограниченным режимом функционирования, по которому необходимо получение Клиентом извещений, распоряжений;

наименования кредитной организации (филиала) и наименования подразделения Банка по месту нахождения кредитной организации (филиала);

информации о дате начала и дате окончания срока сохранения счета с ограниченным режимом функционирования и его закрытия.

К обращению прилагаются:

копия обращения (заявления) о временном сохранении корреспондентского счета (субсчета) кредитной организации (ее филиала) в Банке с ограниченным режимом функционирования;

копия письма подразделения Банка с согласием предоставить кредитной организации возможность сохранения счета с ограниченным режимом функционирования.

Клиент направляет обращение одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

Банк информирует Клиента о дате начала направления в электронном виде извещений об операциях зачисления и списания денежных средств по счету (субсчету) с ограниченным режимом функционирования, а также исполненных распоряжений в произвольной форме одним из способов, указанных в пункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.31. Стороны фиксируют время приема (отказа в приеме) ЭС.

2.32. Банк информирует Клиента о приостановлении участия в обмене ЭС (оказания операционных услуг) в течение тридцати минут после выявления инцидента и после возобновления участия в обмене ЭС (оказания операционных услуг) путем размещения информации в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/development/mcirabis/ <15>.

--------------------------------

<15> Абзац первый пункта 2.32 Договора не применяется для счетов, обслуживаемых полевыми учреждениями Банка России.

2.33. Банк фиксирует и хранит в течение пяти лет информацию, касающуюся обмена ЭС, полученную при обращении Клиента в соответствии с Договором, в том числе по телефону, электронной почте, факсу, с указанием даты, времени, фамилии, имени, отчества (при наличии) лица, получившего информацию.

2.34. Клиент запрашивает (при необходимости) у Банка копии ЭС, которые хранятся Банком, путем направления обращения об их предоставлении в произвольной форме одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

2.35. Банк запрашивает (при необходимости) у Клиента копии ЭС, которые хранятся Клиентом, путем направления обращения об их предоставлении в произвольной форме одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

2.36. Клиент уведомляет Банк о выявлении фактов несоблюдения требований к защите информации в соответствии с Условиями по защите информации.

2.37. Клиент предоставляет в Банк контактную информацию для связи по вопросам обмена ЭС и сведения о ее изменении не позднее дня изменения в произвольной форме одним из способов, указанных в подпункте 2.5.1.2 пункта 2.5 Договора, доступных Клиенту.

2.38. Клиент несет ответственность за содержание реквизитов любого поступившего в Банк ЭС, по которому Банком выполнен контроль целостности и подлинности с положительным результатом.

2.39. Банк несет ответственность за содержание реквизитов любого ЭС, проверка подлинности которого дала положительный результат, за исключением исполненных Банком ЭС клиентов Банка России - отправителей, направленных Клиенту-получателю, проверка подлинности которых дала положительный результат. В этом случае Банк несет ответственность за неизменность реквизитов ЭС, указанных клиентами Банка России - отправителями.

2.40. Клиент обращается в Банк по вопросам обмена ЭС на электронный адрес, указанный в Сведениях для взаимодействия с Клиентом при обмене ЭС (приложение 2 к Договору). При обращении Клиента Банк разъясняет вопросы обмена ЭС путем направления ответа одним из способов, указанных в подпункте 2.5.2.3 пункта 2.5 Договора, доступных Клиенту.

Глава 3. Права и обязанности Сторон

3.1. Стороны имеют права и несут обязанности, установленные главой 2 Договора.

3.2. Стороны обязуются соблюдать условия Договора и положения Условий передачи ПО, Условий по защите информации.

3.3. Банк обязан:

3.3.1. Исполнять и подтверждать распоряжения Клиента, поступившие в Банк в электронном виде, в соответствии с правилами платежной системы Банка России и главой 2 Договора.

3.3.2. Обеспечить возможность визуального наблюдения представителем Клиента за контролем ОМНИ на предмет наличия на нем вредоносного кода <16>.

--------------------------------

<16> Подпункт 3.3.2 пункта 3.3 Договора применяется при наличии технической возможности.

3.3.3. Принимать участие в формировании согласительной комиссии для разрешения споров и разногласий при обмене ЭС в порядке, изложенном в Условиях по защите информации.

3.4. Банк вправе:

3.4.1. Отказать Клиенту в приеме распоряжений на ОМНИ в следующих случаях:

нарушения Клиентом времени представления распоряжений на ОМНИ, установленного главой 2 Договора;

неподтверждения Клиентом полномочий лиц на представление в Банк распоряжений на ОМНИ;

несоответствия сведений, содержащихся в сопроводительном письме, количеству представленных ОМНИ и количеству файлов на каждом ОМНИ.

3.5. Клиент обязан:

3.5.1. Подтверждать полномочия лиц на получение (представление) распоряжений на ОМНИ.

3.5.2. Приобретать, подготавливать к вводу в действие программно-технические средства и другие средства, необходимые для обмена ЭС, при замене Банком средств защиты информации и других средств, необходимых для обмена ЭС.

3.5.3. Принимать участие в формировании согласительной комиссии для разрешения разногласий при обмене ЭС в порядке, изложенном в Условиях по защите информации.

3.6. Клиент вправе:

3.6.1. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента, направлять в Банк России обращение о приостановлении участия в обмене ЭС в соответствии с информацией, размещенной на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: www.cbr.ru/fincert/, а также с Условиями по защите информации.

Глава 4. Ответственность Сторон

4.1. В случае неисполнения или ненадлежащего исполнения обязательств по Договору Стороны несут ответственность в соответствии с законодательством Российской Федерации и Договором.

4.2. Банк не несет ответственности за невозможность передачи ЭС Клиенту, если это вызвано неисправностями используемых Клиентом программно-аппаратных средств и каналов связи, предоставленных третьими лицами.

4.3. Стороны не несут ответственности за неисполнение или ненадлежащее исполнение принятых на себя обязательств по Договору вследствие действия обстоятельств непреодолимой силы.

4.4. Сторона обязана известить другую Сторону о возникновении и прекращении действия обстоятельств непреодолимой силы, препятствующих исполнению ее обязательств по Договору, в срок и способом, которые будут возможны и доступны Стороне в условиях обстоятельств непреодолимой силы, при этом исполнение Сторонами обязательств по Договору приостанавливается на срок действия обстоятельств непреодолимой силы.

4.5. Клиент несет ответственность за выполнение требований к защите информации при обмене ЭС, эксплуатацию и функционирование АРМ обмена в соответствии с требованиями эксплуатационной документации на АРМ обмена, полученной в соответствии с Условиями передачи ПО, а также за действия лиц, допущенных Клиентом к использованию АРМ обмена.

Глава 5. Урегулирование споров и разногласий

5.1. Споры и разногласия, возникающие при исполнении Договора, разрешаются путем переговоров, создания уполномоченными представителями Сторон согласительной комиссии, а при невозможности разрешения споров и разногласий в рамках согласительной комиссии в порядке, предусмотренном законодательством Российской Федерации.

5.2. При возникновении споров и разногласий при обмене ЭС для проведения проверки и анализа спорных ЭС Стороны действуют в соответствии с Условиями по защите информации.

Глава 6. Порядок изменения и расторжения Договора

6.1. Внесение изменений в Условия по защите информации осуществляется в соответствии с пунктом 1.5 Договора без оформления дополнительного соглашения к Договору.

6.2. Внесение иных изменений и дополнений в Договор осуществляется по взаимному согласию Сторон. Изменения и дополнения в Договор оформляются дополнительным соглашением к Договору, подписываемым Сторонами, которое является неотъемлемой частью Договора.

6.3. В случае принятия нормативного акта Банка России по вопросам, регулируемым Договором, противоречащие нормативному акту Банка России положения Договора утрачивают силу с даты вступления в силу нормативного акта Банка России.

6.4. Банк вправе расторгнуть Договор в одностороннем порядке с уведомлением Клиента о причинах, на основании которых Банком принято решение о расторжении Договора в одностороннем порядке, в следующих случаях:

6.4.1. При расторжении договора банковского (корреспондентского) счета (субсчета), указанного в главе 1 Договора.

6.4.2. При несоблюдении Клиентом условий Договора, Условий передачи ПО.

6.4.3. При изменении законодательства Российской Федерации, которое повлекло за собой существенное изменение обстоятельств, из которых исходили Стороны при заключении Договора.

6.5. Клиент вправе расторгнуть Договор в одностороннем порядке при расторжении договора банковского (корреспондентского) счета (субсчета), указанного в главе 1 Договора. Клиент представляет в Банк уведомление о расторжении Договора в письменном виде не позднее ___________ (указать срок) рабочих дней до даты его расторжения.

6.6. Расторжение Договора не влияет на исполнение обязательств Сторон по Договору, принятых до даты расторжения Договора.

6.7. Если какое-либо из положений Договора становится недействительным, это не влияет на действительность остальных положений Договора.

Глава 7. Заключительные положения

7.1. Договор заключается на неопределенный срок и вступает в силу __________________ (указывается "со дня его подписания Сторонами", или конкретная дата, или период со дня подписания Договора, по истечении которого он вступает в силу, или условие, определяющее дату вступления в силу).

7.2. Стороны обязуются в течение пяти рабочих дней письменно уведомлять друг друга об изменении реквизитов, имеющих значение для определения Сторон, в том числе их юридического статуса.

7.3. К Договору прилагаются и являются его неотъемлемой частью следующие приложения:

Приложение 1. Условия по защите информации при обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России;

Приложение 2. Сведения для взаимодействия с Клиентом при обмене ЭС.

7.4. Договор составлен на бумажном носителе в двух экземплярах. Каждый экземпляр Договора имеет одинаковую юридическую силу, один экземпляр передается Клиенту, другой хранится в Банке.

Глава 8. Адреса <17>, реквизиты и подписи Сторон

--------------------------------

<17> Обязательной для заполнения является информация об адресе нахождения постоянно действующего исполнительного органа Клиента, по которому осуществляется связь с Клиентом (в случае отсутствия постоянно действующего исполнительного органа Клиента указывается адрес иного органа или лица, имеющего право действовать от имени Клиента без доверенности), а также адрес для направления корреспонденции (если указанные адреса различаются), адрес (адреса) электронной почты (при наличии), используемый (используемые) для направления и получения информации в рамках настоящего Договора.

Банком указывается информация о месте нахождения подразделения Банка, обслуживающего Счет.

Приложение 2
к письму Банка России
"О форме договора об обмене
ЭС при переводе денежных
средств в рамках платежной
системы Банка России"

Приложение 1
к договору об обмене
электронными сообщениями
при переводе денежных
средств в рамках платежной
системы Банка России

УСЛОВИЯ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ ОБМЕНЕ ЭЛЕКТРОННЫМИ СООБЩЕНИЯМИ
ПРИ ПЕРЕВОДЕ ДЕНЕЖНЫХ СРЕДСТВ В РАМКАХ ПЛАТЕЖНОЙ СИСТЕМЫ
БАНКА РОССИИ

Глава 1. Общие положения

1.1. Клиент для участия в обмене электронными сообщениями (далее - ЭС) в платежной системе Банка России выполняет настоящие Условия.

1.2. Термины, используемые в настоящих Условиях, понимаются в значениях, определенных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), установленных правилами платежной системы Банка России.

1.3. Кроме того, в настоящих Условиях используются следующие термины и сокращения:

автоматизированная система Клиента (далее - АС Клиента) - программно-технический комплекс, эксплуатируемый Клиентом, обеспечивающий формирование и обработку ЭС, содержащих распоряжения о переводе денежных средств, и иных ЭС, включенных в Альбом ЭС, в порядке, установленном Альбомом ЭС;

администратор информационной безопасности (далее - АИБ) - лицо, назначенное Клиентом и выполняющее обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению информационной безопасности;

администратор ключевой системы (далее - АКС) - лицо, назначенное владельцем криптографического ключа ответственным за управление криптографическими ключами, в том числе за формирование криптографических ключей и обеспечение безопасности криптографических ключей;

владелец ключа электронной подписи, ключа шифрования (владелец криптографического ключа) - Банк России или Клиент;

инцидент - нарушение требований к обеспечению защиты информации при обмене ЭС, в том числе нарушение, которое привело или может привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств;

ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи с использованием средств криптографической защиты информации;

ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;

ключ шифрования - уникальная последовательность символов, используемая при зашифровании и расшифровании ЭС;

ключевая информация - криптографические ключи: ключи ЭП и ключи проверки ЭП (ключи аутентификации), закрытые и открытые ключи шифрования, симметричные ключи шифрования, а также сертификаты открытых ключей шифрования, сертификаты ключей проверки ЭП, справочники сертификатов, справочники открытых ключей шифрования/ключей проверки ЭП и другая вспомогательная технологическая информация, необходимая для обеспечения процессов изготовления, эксплуатации криптографических ключей и управления криптографическими ключами;

ключевой носитель - отчуждаемый машинный носитель информации, содержащий криптографический ключ;

криптографический ключ - ключ электронной подписи и (или) ключ шифрования;

компрометация криптографического ключа - событие, определяемое владельцем криптографического ключа как ознакомление неуполномоченным лицом (лицами) с его криптографическим ключом;

объекты информационной инфраструктуры - автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются Клиентом для участия в обмене ЭС;

пользователь ключа электронной подписи, ключа шифрования (далее - пользователь криптографического ключа) - лицо, назначенное владельцем криптографического ключа и уполномоченное им использовать криптографический ключ от имени владельца криптографического ключа;

регистрационная карточка сертификата ключа проверки электронной подписи (далее - регистрационная карточка сертификата ключа) - документ, содержащий распечатку сертификата ключа проверки электронной подписи (включая распечатку в шестнадцатеричной системе счисления ключа проверки электронной подписи, наименование и иные реквизиты, идентифицирующие владельца ключа электронной подписи, подпись руководителя (лица, его замещающего) владельца ключа электронной подписи или лица из числа работников владельца ключа электронной подписи, уполномоченного на подписание регистрационной карточки сертификата ключа от имени владельца ключа электронной подписи (далее - уполномоченное лицо), а также оттиск печати (при ее наличии);

регистрационный центр - подразделение Банка России, выполняющее функции регистрации и сертификации ключей электронной подписи, а также управления ключами проверки электронной подписи Клиента и ключами шифрования, применяемыми при обмене ЭС;

сертификат ключа проверки электронной подписи - документ в электронном виде, выданный регистрационным центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа;

средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие создание и проверку электронной подписи, создание ключей электронной подписи, а также реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при обмене ЭС по каналам связи либо с использованием ОМНИ;

уполномоченное лицо <18> - лицо, уполномоченное на подписание от имени Клиента регистрационных карточек сертификатов ключей проверки электронной подписи, запросов на выпуск сертификатов ключей проверки электронной подписи, а также на направление и (или) подписание обращений о приостановлении (возобновлении) обмена ЭС в случае выявления инцидента, связанного с несоблюдением Клиентом требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента;

--------------------------------

<18> Уполномоченное лицо назначается организационно-распорядительным документом, утвержденным руководителем (лицом, его замещающим) Клиента либо уполномочивается доверенностью, выданной от имени руководителя (лица, его замещающего) Клиента. Может осуществляться назначение (уполномочивание) нескольких уполномоченных лиц. Копии организационно-распорядительного документа и доверенности предоставляются в Банк России.

электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

1.4. Сведения о реализованных мерах и средствах защиты информации, в том числе сведения о ключевой информации, а также сведения, передаваемые Банком России и Клиентом друг другу в ходе исполнения настоящих Условий, не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации или договором, заключенным Банком России, Клиентом и третьим лицом.

1.5. Сведения, содержащиеся в ЭС Клиента, и в ЭС, направленных Клиенту в ходе исполнения настоящих Условий, не подлежат передаче Банком России третьим лицам, за исключением случаев, установленных законодательством Российской Федерации.

1.6. При обмене в электронном виде сведениями о реализованных мерах и средствах защиты информации, а также материалами работы согласительной комиссии, созданной в соответствии с приложением 4 к настоящим Условиям, применяются организационные и технические меры защиты информации, в том числе предназначенные для предотвращения несанкционированного доступа к содержанию защищаемой информации при передаче по открытым каналам связи, а также с использованием информационно-телекоммуникационной сети "Интернет".

1.7. Клиент должен осуществлять эксплуатацию и функционирование автоматизированного рабочего места обмена ЭС с платежной системой Банка России (далее - АРМ обмена) в соответствии с требованиями эксплуатационной документации на АРМ обмена, полученной в соответствии с Условиями передачи программного обеспечения Клиенту Банка России.

1.8. Банк России вправе проверять выполнение Клиентом требований к защите информации на соответствие сведениям, изложенным в акте о готовности Клиента к обмену ЭС с Банком России.

1.9. Банк России уведомляет Клиента о приостановлении (восстановлении) участия в обмене ЭС с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации с использованием технической инфраструктуры (автоматизированной системы) Банка России информация направляется с использованием резервного способа взаимодействия <19>, указанного в подпункте 2.1.9 пункта 2.1 настоящих Условий.

--------------------------------

<19> Банк России может направлять информацию клиенту полевого учреждения Банка России через обслуживающее полевое учреждение Банка России (резервный способ взаимодействия).

Глава 2. Меры по защите информации при осуществлении
переводов денежных средств в платежной системе Банка России

2.1. Клиент при обмене ЭС обеспечивает выполнение следующих требований.

2.1.1. Клиент должен размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ЭС, иных объектов информационной инфраструктуры не допускается.

АРМ обмена должен быть реализован в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.

Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров. <20>

--------------------------------

<20> Абзац третий подпункта 2.1.1 пункта 2.1 настоящих Условий для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР), и/или Клиентов Банка России, не являющихся кредитными организациями, вступает в силу с 01.01.2025.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиент должен применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (далее - ГОСТ Р 57580.1-2017).

2.1.2. Документы Клиента, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами защиты информации;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.1.3. Клиент при обмене ЭС в платежной системе Банка России с использованием СКЗИ должен обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

2.1.4. Передача и прием ЭС осуществляются Клиентом с использованием АРМ обмена. АРМ обмена должен быть реализован с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи ПО.

2.1.5. Клиент должен обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.1.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.1.7. Клиент при обмене ЭС между Клиентом и Банком России должен руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

2.1.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиент должен обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом ЭС;

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. <21>

--------------------------------

<21> Абзац шестой подпункта 2.1.8 пункта 2.1 настоящих Условий для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР), и/или Клиентов Банка России, не являющихся кредитными организациями, вступает в силу с 01.01.2025.

2.1.9. Клиент должен информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия. <22>

--------------------------------

<22> Клиенты полевых учреждений Банка России могут направлять информацию в Банк России через обслуживающее полевое учреждение Банка России (резервный способ взаимодействия).

Клиент должен информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием ОМНИ при невозможности осуществлять обмен ЭС по каналам связи.

Клиент должен информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и с использованием ОМНИ.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.

2.2. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

2.3. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным им лицом и представляются по запросу Банка России <23> при проведении проверки выполнения требований к защите информации.

--------------------------------

<23> Способ представления информации указывается в запросе Банка России.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности Клиента к обмену ЭС с Банком России.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из указанных ниже способов, доступных Клиенту (в случае если способ направления не указан в акте проверки):

с использованием личного кабинета;

через МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

До начала обмена ЭС Клиент представляет в подразделение Банка России, обслуживающее счет Клиента, акт о готовности Клиента к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, одним из указанных ниже способов, доступных Клиенту:

с использованием личного кабинета;

через МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Клиента к обмену ЭС с Банком России, Клиент обязан представить в подразделение Банка России, обслуживающее счет Клиента, актуальную информацию не позднее следующего рабочего дня после внесения изменений одним из указанных ниже способов, доступных Клиенту:

с использованием личного кабинета;

через МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).

Приложение 1
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

УТВЕРЖДАЮ
(личная подпись, Ф.И.О. руководителя (лица, его замещающего или должностного лица, заключившего Договор от имени Клиента, или лица, уполномоченного доверенностью)
(наименование Клиента)
"__" __________________ г.

АКТ
о готовности Клиента ___________________ (указывается наименование Клиента) к обмену ЭС с Банком России <24>
от "__" ____________ г.

    Настоящий  акт составлен по результатам проверки готовности к обмену ЭС
с использованием __________________________________________________________
_____________________________________________________________________ <25>.
Комиссия <26> ___________________________________ (указывается наименование
Клиента),    созданная    на    основании   ________________   (указывается
наименование, дата и номер распорядительного документа Клиента), в составе:

Руководитель Комиссии
(наименование должности, инициалы, фамилия)
Члены Комиссии:
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)

провела проверку готовности к обмену ЭС с Банком России.

Комиссия установила следующее:
1. Размещение и техническое состояние аппаратных, системных, сетевых и телекоммуникационных средств, а также состояние программного обеспечения автоматизированных(ого) рабочих(его) мест(а) (АРМ) <27> соответствует требованиям Банка России в части информационной безопасности, а именно:
.
2. Используется следующий вариант взаимодействия АС Клиента с АРМ обмена:
.
3. Выполняются следующие меры в части защиты информации:
Для участника сервиса срочного перевода и сервиса несрочного перевода (далее - ССНП) <28>:

N п/п
Меры в части защиты информации
Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС, для участника ССНП
3.1.
Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
АРМ обмена реализован в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.
Участник ССНП направляет всю необходимую информацию <29>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 6 к настоящему акту, в том числе:
-
название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования ЭС или контуру контроля реквизитов ЭС;
-
сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования или контуру контроля;
-
реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена;
-
реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена;
-
реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена.
3.2.
Объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.
Участник ССНП направляет всю необходимую информацию <30>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:
-
описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования ЭС и контура контроля реквизитов ЭС (автоматизированная система учета операций, АРМ контура контроля ЭС, АРМ контура формирования ЭС, АРМ обмена с Банком России, иное);
-
реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС включая установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования ЭС и контуром контроля реквизитов ЭС с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости);
-
схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;
-
логическую схему сети с разделением на VLAN, указанием диапазона IP-адресов, масок подсетей, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника;
-
сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);
сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер).
3.3.
В контуре формирования ЭС на основе первичного документа в бумажной или электронной форме или входящего ЭС должны осуществляться:
Участник ССНП направляет всю необходимую информацию <31>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:
-
реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;
формирование исходящего ЭС, предназначенного для направления в платежную систему Банка России;
-
технологическую схему и описание технологического процесса формирования ЭС на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:
контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России;
подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования ЭС, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;
-
описание этапа формирования исходящего ЭС;
-
описание этапа контроля реквизитов исходящего ЭС в контуре формирования ЭС с указанием основных контролируемых полей и способов контроля;
-
описание этапа подписания исходящего ЭС в контуре формирования ЭС с описанием механизма разграничения доступа при выполнении операций;
направление исходящего ЭС, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов ЭС.
-
описание этапа направления исходящего ЭС в контур контроля реквизитов ЭС;
-
описание этапа контроля реквизитов исходящего ЭС в контуре контроля реквизитов ЭС с указанием основных контролируемых полей и способа контроля;
-
указание источника эталонной информации для сравнения и способа взаимодействия;
3.4.
В контуре контроля реквизитов ЭС должны осуществляться:
-
описание этапа контроля на отсутствие дублирования исходящих ЭС с указанием основных контролируемых полей и способа контроля;
контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего ЭС;
-
описание этапа подписания исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, с описанием механизма разграничения доступа при выполнении операций;
-
описание процедуры (порядок, ответственные) шифрования исходящего ЭС;
контроль на отсутствие дублирования исходящих ЭС;
-
описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) ЭС.
подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

4. АРМ обмена эксплуатируется ____________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента, ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).
5. СКЗИ эксплуатируется ___________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).
6. АС Клиента эксплуатируется ___________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС, выполнение требований к защите информации).
7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС при переводе денежных средств в рамках платежной системы Банка России в случае несоблюдения участником обмена требований к защите информации _______________________________________________
(указывается информация в соответствии с пунктом 4 приложения 3 настоящих Условий).

Заключение

Комиссия считает, что _____________________________ (указывается наименование Клиента) готов к осуществлению обмена ЭС при переводе денежных средств в рамках платежной системы Банка России с использованием ____________________________________________________________ <32>.

Руководитель Комиссии
(инициалы, фамилия)
(подпись, дата)
Члены Комиссии:
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)

Приложения:

1. Акт о готовности АРМ обмена к обмену ЭС <33> (составляется в произвольной форме, акт утверждается руководителем Клиента (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента, или лицом, уполномоченным доверенностью).

2. Организационно-распорядительный документ участника о назначении администратора АРМ обмена, администраторов АРМ контура формирования ЭС <34> и АРМ контура контроля реквизитов ЭС <17> (составляется в произвольной форме с указанием фамилии, инициалов, занимаемой должности, номеров телефонов).

3. Организационно-распорядительный документ участника о назначении администраторов информационной безопасности АРМ обмена, АРМ контура формирования ЭС <17> и АРМ контура контроля реквизитов ЭС <17> (с указанием фамилии, инициалов, занимаемой должности, номера телефона).

4. Организационно-распорядительный документ участника о назначении операторов АРМ обмена, АРМ контура формирования ЭС <17> и АРМ контура контроля реквизитов ЭС <17>, а также лиц, допущенных к работе с СКЗИ, АКС, уполномоченных лиц <35> (с указанием фамилии, инициалов, занимаемой должности, номера телефона).

5. Документы, отражающие (поясняющие) реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС для участника ССНП, в том числе описание информационного взаимодействия и технологического процесса, а также иные документы, указанные в пункте 3 настоящего акта. <36>

6. Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР (по форме приложения к настоящему приложению). <37>

7. Распорядительный документ Клиента о проведении проверки готовности к обмену ЭС с Банком России.

--------------------------------

<24> По данной форме представляется акт о готовности к обмену ЭС с Банком России при переводе денежных средств в рамках платежной системы Банка России (далее - ПС БР).

<25> Указывается наименование используемых АРМ обмена, СКЗИ.

<26> Комиссия назначается соответствующим распорядительным документом Клиента, подписанным руководителем (лицом, его замещающим).

<27> Указывается наименование и описание используемых АРМ обмена, СКЗИ.

<28> Требования пункта 3 настоящего акта для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР), и/или Клиентов Банка России, не являющихся кредитными организациями, вступают в силу с 01.01.2025.

<29> Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к настоящему акту).

<30> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к настоящему акту).

<31> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к настоящему акту).

<32> Указывается наименование программных комплексов, используемых для АРМ обмена, наименование СКЗИ.

<33> Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, установленных на АРМ обмена, значения хеш-сумм переданного Банком России программного комплекса, используемого для АРМ обмена, а также значение хеш-суммы самой программы вычисления хеш-сумм.

<34> Заполняется при выполнении пункта 3 настоящего акта.

<35> Клиент обязан предоставлять в Банк России сведения о назначении и изменении состава лиц, указанных в приложениях 2 - 4 к настоящему акту не позднее следующего рабочего дня после внесения изменений.

<36> Заполняется при выполнении пункта 3 настоящего акта.

<37> Заполняется при выполнении пункта 3 настоящего акта.

Приложение
к Приложению 1
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

Сведения
об информационной инфраструктуре, предназначенной
для формирования, контроля и направления ЭС в ПС БР <38>

Доменное имя
IP-адрес, маска подсети, VLAN
MAC-адрес
Установленное ПО
АРМ обмена <39>
АРМ контура формирования
АРМ контура контроля

Технологический участок
Роль
ФИО (основной/замещающий)
Идентификатор ключа электронной подписи
Реквизиты документа о назначении
АРМ обмена
Оператор АРМ
Администратор АРМ
АИБ АРМ
Контур формирования
Оператор АРМ
Администратор АРМ
АИБ АРМ
Контур контроля
Оператор АРМ
Администратор АРМ
АИБ АРМ

--------------------------------

<38> Заполняется при выполнении пункта 3 настоящего акта.

<39> Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей в соответствии с подпунктом 2.1.1 пункта 2.1 настоящих Условий.

Приложение 2
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

УСЛОВИЯ УПРАВЛЕНИЯ КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ

1. Условия управления криптографическими ключами (далее - Условия) выполняются Клиентом при управлении ключами электронной подписи и ключами шифрования, применяемыми при обмене ЭС при переводе денежных средств в рамках платежной системы Банка России.

2. Клиент может иметь несколько криптографических ключей, а также при необходимости резервные криптографические ключи.

3. Криптографические ключи Клиент изготавливает самостоятельно на учтенных ключевых носителях с использованием средств, входящих в комплект поставки СКЗИ.

Допускается генерация Клиентом криптографических ключей в регистрационном центре, для чего Банк России предоставляет Клиенту рабочее место для генерации криптографических ключей, оборудованное СКЗИ (при этом согласие Клиента на изготовление криптографических ключей на технических средствах Банка России должно быть документально зафиксировано и оформляться при каждом изготовлении криптографических ключей).

Для самостоятельного изготовления криптографических ключей Клиент получает в регистрационном центре данные, необходимые для заполнения полей сертификата криптографического ключа.

4. Взаимодействие Банка России с Клиентом в части управления ключами осуществляется АКС Банка России.

Клиент не позднее одного месяца до срока окончания действия криптографического ключа должен инициировать проведение его плановой смены, в случае необходимости инициировать проведение внеплановой смены криптографического ключа. Криптографические ключи с истекшим сроком действия не используются. Взаимодействие с Банком России по вопросам управления ключами со стороны Клиента осуществляется АКС Клиента. Для обеспечения бесперебойной работы по управлению криптографическими ключами рекомендуется назначать не менее двух АКС Клиента.

5. Клиент обеспечивает сохранность своих криптографических ключей.

6. Организационно-техническая информация, необходимая для взаимодействия Банка России и Клиента, доводится в Регламенте взаимодействия Банка России и Клиента при управлении криптографическими ключами (далее - Регламент), предоставляемом Клиенту подразделением Банка России, в лице которого Банк России заключил Договор.

Клиент обязуется соблюдать положения, приведенные в Регламенте.

7. Регламент содержит следующее.

7.1. Порядок получения данных, необходимых для заполнения полей сертификата криптографического ключа.

7.2. Порядок изготовления и сертификации криптографических ключей.

7.3. Порядок изготовления регистрационной карточки сертификата ключа на бумажном носителе.

7.4. Порядок плановой и внеплановой смены криптографических ключей.

7.5. Порядок действий в случае компрометации криптографических ключей.

7.6. Порядок действий с криптографическими ключами в случае доступа (подозрении на доступ) к ним неуполномоченных лиц, а также в случае прекращения полномочий работников по доступу к указанным ключам.

7.7. Порядок уничтожения криптографических ключей.

7.8. Порядок взаимодействия АКС Клиента и АКС Банка России по вопросам управления ключевой системой.

7.9. Наименование регистрационного центра.

8. Регистрационная карточка сертификата ключа изготавливается в двух экземплярах и содержит:

наименование владельца ключа электронной подписи;

наименование используемого СКЗИ и стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;

информацию, идентифицирующую ключ электронной подписи (идентификатор <40> и (или) номер ключа электронной подписи <41>, идентификатор и (или) номер серии);

--------------------------------

<40> При наличии.

<41> При наличии.

информацию о назначении ключа электронной подписи (область применения);

уникальный номер сертификата ключа проверки электронной подписи;

распечатку ключа проверки электронной подписи в шестнадцатеричной системе счисления;

даты начала и окончания действия ключа электронной подписи;

даты начала и окончания действия ключа проверки электронной подписи;

фамилию и инициалы, должность и подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от его имени регистрационных карточек сертификатов ключей, заверенные оттиском печати владельца ключа электронной подписи (при ее наличии);

фамилию и инициалы, подпись АКС Банка России.

Регистрационная карточка сертификата ключа может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна содержать подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от имени Клиента регистрационных карточек сертификатов ключей Клиента, заверенную оттиском печати владельца ключа электронной подписи (при ее наличии).

Один экземпляр регистрационной карточки сертификата ключа на бумажном носителе хранится в регистрационном центре, другой - у владельца ключа. Ключ электронной подписи считается зарегистрированным со дня передачи в регистрационный центр надлежащим образом заверенного Клиентом экземпляра регистрационной карточки сертификата ключа на бумажном носителе.

Порядок ввода в действие ключей электронной подписи и ключей шифрования определяется Регламентом.

9. При компрометации или подозрении на компрометацию криптографического ключа использование скомпрометированного ключа должно быть прекращено. Пользователь ключа в соответствии с внутренним регламентом обязан немедленно проинформировать о факте компрометации/подозрении на компрометацию АКС, АИБ и руководителя Клиента (лицо, его замещающее). В случае принятия Клиентом решения о компрометации криптографического ключа Клиент должен уведомить регистрационный центр о необходимости аннулирования сертификата скомпрометированного ключа и проведении его внеплановой смены.

По факту компрометации криптографического ключа владелец ключа организовывает служебное расследование, результаты которого оформляются актом. Клиент обязан направить письмо с приложенным экземпляром указанного акта Клиента в регистрационный центр не позднее трех рабочих дней со дня окончания расследования.

10. В случае увольнения или прекращения полномочий работника по доступу к криптографическому ключу заблаговременно, в сроки, установленные Регламентом, должна быть проведена замена криптографического ключа, к которому указанный работник имел единоличный доступ.

11. Уничтожение криптографических ключей на ключевых носителях проводится комиссией, состоящей из представителей Клиента, с составлением акта.

Приложение 3
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

ПОРЯДОК
НАПРАВЛЕНИЯ ОБРАЩЕНИЙ О ПРИОСТАНОВЛЕНИИ (ВОЗОБНОВЛЕНИИ)
ОБМЕНА ЭС В СЛУЧАЕ ВЫЯВЛЕНИЯ ИНЦИДЕНТА, СВЯЗАННОГО
С НЕСОБЛЮДЕНИЕМ КЛИЕНТОМ ТРЕБОВАНИЙ
К ЗАЩИТЕ ИНФОРМАЦИИ

1. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС.

По результатам устранения причин инцидента Клиент должен направлять обращение о возобновлении обмена ЭС, при получении которого Банк России снимает ранее введенное ограничение обмена ЭС с Клиентом.

2. Обращения о приостановлении обмена ЭС в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения о возобновлении обмена ЭС (далее - обращения) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления обращения с использованием технической инфраструктуры (автоматизированной системы) Банка России обращение должно направляться с использованием резервного способа взаимодействия.

При возобновлении возможности направления обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить обращение с использованием технической инфраструктуры (автоматизированной системы) Банка России.

3. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия Клиента с Банком России, с помощью которого направляются обращения, размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.

4. В целях направления обращений Клиент должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений, и направление в Банк России письма, содержащего информацию об уполномоченных лицах, не позднее следующего дня после дня их назначения или изменения информации.

Указанное письмо составляется по форме, размещенной на сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/, и направляется в Банк России (Департамент информационной безопасности) не позднее рабочего дня, следующего за днем назначения уполномоченных лиц, указанных в абзаце первом настоящего пункта, или изменения информации о них, с использованием одного из указанных ниже способов:

с использованием личного кабинета;

через МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).

5. Не позднее одного рабочего дня после дня направления обращения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия Клиент должен направить оригинал обращения, оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (при ее наличии), в Банк России с использованием одного из указанных ниже способов:

с использованием личного кабинета;

через МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).

6. Формы обращения о приостановлении обмена ЭС и обращения о возобновлении обмена ЭС, направляемых в письменном виде, а также с использованием технической инфраструктуры (автоматизированной системы) Банка России или с использованием резервного способа, размещены на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.

Приложение 4
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

УРЕГУЛИРОВАНИЕ СПОРОВ И РАЗНОГЛАСИЙ ПРИ ОБМЕНЕ ЭС

1. Для урегулирования разногласий при обмене ЭС, установления фактических обстоятельств, послуживших основанием для их возникновения, а также для проверки подлинности и контроля целостности ЭС Банком России совместно с Клиентом создается согласительная комиссия (далее - комиссия).

2. При возникновении разногласий в связи с обменом ЭС заявляющая разногласие Сторона (Клиент либо Банк) (далее - Сторона-инициатор) направляет другой Стороне (Клиенту либо Банку) претензию, подписанную уполномоченным должностным лицом, с изложением причин разногласий и предложением создать комиссию.

В претензии указываются:

полное наименование Стороны-инициатора;

тип и описание претензии;

фамилии, инициалы и занимаемые должности представителей Стороны-инициатора, которые будут участвовать в работе комиссии;

место, время и дату сбора комиссии (не позднее семи рабочих дней со дня отправления претензии).

До подачи претензии Сторона-инициатор обязана убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии нарушения целостности информационной инфраструктуры и несанкционированных действий со стороны персонала, обслуживающего АРМ обмена.

3. В состав комиссии включается равное количество представителей каждой Стороны, но не более пяти человек, включая представителей службы безопасности и юридической службы (при их наличии).

Члены комиссии от каждой Стороны назначаются приказом либо иным распорядительным актом соответствующей Стороны.

В случае необходимости привлечения независимых специалистов, не представляющих какую-либо из Сторон и имеющих официально подтвержденную квалификацию, данные специалисты включаются в состав комиссии по письменному соглашению Сторон сверх квоты представителей Сторон, определяемой в соответствии с абзацем первым настоящего пункта.

Порядок оплаты работы независимых специалистов в комиссии определяется по соглашению Сторон.

4. Комиссия создается на срок до 10 рабочих дней. В случае необходимости срок работы комиссии по согласованию Сторон может быть продлен до 30 рабочих дней.

5. Стороны обязуются оказывать содействие в работе комиссии и не допускать отказа от представления необходимых документов, за исключением случаев, предусмотренных законодательством Российской Федерации.

6. Стороны обязуются предоставить комиссии возможность ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для обмена ЭС (АРМ обмена).

7. Клиент обязуется предоставлять членам комиссии доступ в помещение, где размещается АРМ обмена, для проведения проверок соблюдения Клиентом настоящих Условий.

8. Работа комиссии проходит в два этапа.

8.1. Первый этап - подготовительный.

8.1.1. Комиссия устанавливает ПО СКЗИ, предоставленное Банком России, на средстве вычислительной техники с системным ПО, удовлетворяющим требованиям эксплуатационной документации на СКЗИ. Установленное ПО СКЗИ принимается для работы Комиссии.

8.1.2. По запросу Комиссии ей передаются: необходимые сертификаты ключей Банка России и сертификат Клиента с соответствующими регистрационными карточками, справочник сертификатов ключей с АРМ обмена Клиента, актуальный на момент обработки оспариваемого ЭС, и другие материалы.

Комиссия сравнивает сертификаты ключа Банка России и Клиента с соответствующими регистрационными карточками. При положительном результате сравнения сертификаты ключей используются в работе комиссии.

8.2. Второй этап - проверка и анализ спорных ЭС.

8.2.1. Комиссией рассматриваются разногласия следующих типов:

Сторона-отправитель утверждает, что не направляла ЭС, а Сторона-получатель утверждает, что ЭС было получено;

Сторона-получатель утверждает, что не получала ЭС, а Сторона-отправитель утверждает, что ЭС было направлено.

8.2.2. Разрешение разногласий первого типа осуществляется в следующем порядке.

Сторона-получатель представляет ЭС, оспариваемое Стороной-отправителем.

Комиссия осуществляет проверку электронной подписи Стороны-отправителя с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС комиссия подтверждает факт направления Стороной-отправителем ЭС Стороне-получателю.

Если Сторона-отправитель настаивает на том, что данное ЭС она не отправляла, комиссия может дополнительно сделать вывод о возможной компрометации ключа электронной подписи Стороны-отправителя.

На основе отрицательного результата проверки электронной подписи Стороны-отправителя по оспариваемому ЭС комиссия подтверждает факт, что Сторона-отправитель не направляла ЭС Стороне-получателю.

8.2.3. Разрешение разногласий второго типа осуществляется в следующем порядке.

Сторона-отправитель представляет ЭС, полученное от Стороны-получателя, о результатах проверки электронной подписи в ЭС Стороны-отправителя (независимо от того, с каким результатом (положительным или отрицательным) завершена проверка), что свидетельствует о получении ЭС Стороной-получателем.

Комиссия осуществляет проверку электронной подписи в ЭС, предоставленном Стороной-отправителем, с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, комиссия подтверждает факт того, что Сторона-получатель получила ЭС.

На основе отрицательного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, или в случае непредставления ЭС Стороной-отправителем комиссия подтверждает факт того, что Сторона-получатель не получала ЭС.

Комиссия не принимает к рассмотрению претензии по ЭС, для которых Альбомом ЭС не предусмотрено получение подтверждения о получении ЭС от Стороны-получателя, снабженного электронной подписью Стороны-получателя.

9. По итогам работы комиссии составляется акт, содержащий:

описание фактических обстоятельств, послуживших основанием для предъявления претензии;

описание работ, проведенных членами комиссии;

вывод по результатам работы комиссии по оспариваемому ЭС, в том числе о причинах возникновения инцидента, и его обоснование;

рекомендации по предотвращению возникновения инцидентов;

решение об удовлетворении об удовлетворении претензии заявителя (в полном объеме или частично) либо об отказе в удовлетворении претензии заявителя, принятое по результатам рассмотрения претензии.

Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Члены комиссии, не согласные с мнением большинства, вправе изложить особое мнение в произвольной форме, которое прикладывается к акту.

10. Если в течение двух рабочих дней на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен или был получен отказ от участия в работе комиссии, или другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 9 настоящего приложения. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.

Приложение 5
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

УСЛОВИЯ ИСПОЛЬЗОВАНИЯ СКЗИ

1. Защита информации Клиентами с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350, и технической документацией на СКЗИ.

2. Для подписания ЭС и обеспечения шифрования на прикладном уровне используются следующие СКЗИ: программный комплекс "Сигнатура-клиент" или программный комплекс "Сигнатура-клиент L", система криптографической защиты информации автоматизированных систем Банка России "Янтарь" или программный комплекс "Система криптографической защиты информации автоматизированных систем Банка России "Янтарь L".

3. При подключении к криптографической сети Транспортного шлюза Банка России для обмена платежными и финансовыми сообщениями используется специальное ПО СКЗИ "Клиент криптографического сервера доступа "DiSec-W" (СКЗИ DiSec-W), предназначенное для организации защищенных VPN-туннелей, и ПО СКЗИ "Модуль генерации ключей МГК-3", предназначенное для генерации ключевой информации, используемой ПО СКЗИ DiSec-W.

4. Установка и настройка СКЗИ на АРМ обмена выполняются Клиентами с учетом требований, изложенных в эксплуатационной документации на СКЗИ. При каждом запуске АРМ обмена должен быть обеспечен контроль целостности установленного ПО СКЗИ.

5. Определяется порядок учета, хранения и использования ключевых носителей (ключевых идентификаторов Touch Memory, ключевых Smart-карт и других носителей ключевой информации), который должен полностью исключать возможность неконтролируемого доступа к ним.

6. Полномочия лиц, имеющих доступ к криптографическим ключам, должны быть определены распорядительным документом, подписанным руководителем (лицом, его замещающим) Клиента или должностным лицом, заключившим Договор от имени Клиента.

7. Для хранения ключевых носителей с криптографическими ключами должны использоваться надежные металлические шкафы (сейфы). Хранение ключевых носителей допускается в одном металлическом шкафу (сейфе) с другими документами в отдельной упаковке, исключающей неконтролируемый доступ к ключевым носителям.

8. В течение рабочего дня вне времени составления, передачи и приема ЭС, а также по окончании рабочего дня носители ключевой информации с криптографическими ключами помещаются в металлические шкафы (сейфы).

9. Не допускается:

снимать несанкционированные копии с носителей ключевой информации, оставлять ключевые носители без присмотра, в том числе в считывателе АРМ обмена;

знакомить с содержанием носителей ключевой информации лиц, к ней не допущенных, а также передавать им носители ключевой информации;

выводить криптографические ключи на устройство отображения (дисплей, монитор) электронно-вычислительной машины (ЭВМ) или устройство печати (принтер);

устанавливать носители с криптографическими ключами в считывающее устройство АРМ обмена, программные средства которого функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

записывать на носители ключевой информации постороннюю информацию.

Приложение 6
к Условиям по защите информации
при обмене электронными сообщениями
при переводе денежных средств
в рамках платежной системы
Банка России

ФОРМИРОВАНИЕ ЭС И КОНТРОЛЬ РЕКВИЗИТОВ ЭС

Формирование ЭС и контроль реквизитов ЭС должны осуществляться с учетом следующего.

1. Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров. <42>

--------------------------------

<42> Требования пунктов 1 и 2 настоящего Приложения для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР) и/или Клиентов Банка России, не являющихся кредитными организациями, вступают в силу с 01.01.2025.

2. Объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности Клиентов. <25>

3. В контуре формирования ЭС на основе первичного документа в бумажной или электронной форме, или входящего ЭС должны осуществляться:

формирование исходящего ЭС, предназначенного для направления в платежную систему Банка России;

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России;

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования ЭС, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;

направление исходящего ЭС, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов ЭС.

4. В контуре контроля реквизитов ЭС должны осуществляться:

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме, или входящего ЭС;

контроль на отсутствие дублирования исходящих ЭС;

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

Приложение 3
к письму Банка России
"О форме договора об обмене
ЭС при переводе денежных
средств в рамках платежной
системы Банка России"

Приложение 2
к договору об обмене
электронными сообщениями
при переводе денежных
средств в рамках платежной
системы Банка России

Сведения для взаимодействия с Клиентом при обмене ЭС

N п/п
Причина взаимодействия
Контактные данные
Дата начала применения
Номер подпункта Договора
1
Направление контактных данных работников, уполномоченных взаимодействовать с Банком по вопросам подготовки к участию в обмене ЭС
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.5.1.2
2
Направление письма об успешном завершении тестовых испытаний
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.5.1.7
3
Направление сообщения о дате начала обмена ЭС
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.5.1.7
4
Направление обращения о продлении времени окончания стандартного периода регулярного сеанса платежной системы Банка России и (или) времени окончания периода урегулирования регулярного сеанса платежной системы Банка России
<наименование подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.7
5
Время начала и окончания приема ЭС на ОМНИ;
<чч:мм-чч:мм>
<дд-мм-гггг>
2.10
2.11
Время начала и окончания возврата ОМНИ, содержащих ЭС, по итогам выполнения процедур приема к исполнению и исполнения;
<чч:мм-чч:мм>
<дд-мм-гггг>
Виды ОМНИ, которые могут использоваться Клиентом для обмена ЭС;
<Виды ОМНИ>
<дд-мм-гггг>
Подразделение Банка, осуществляющее прием и возврат ОМНИ
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
6
Направление заявления о плановом переходе на обмен ЭС с использованием ОМНИ
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.12
7
Направление заявления о незапланированном переходе на обмен ЭС с использованием ОМНИ
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.13
8
Направление обращения о приостановлении (ограничении) участия в обмене ЭС, обращения о возобновлении обмена ЭС при переводе денежных средств в рамках платежной системы Банка России
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.21
9
Направление письма об отрицательных результатах выверки
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.24
10
Представление обращения о направлении в электронном виде извещений об операциях зачисления и списания денежных средств при отсутствии операций по Счету
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.27
11
Направление заявления о получении извещений об операциях зачисления и списания денежных средств по счету (счетам), а также исполненных распоряжений
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.29
12
Направление обращения о предоставлении копий ЭС, которые хранятся Банком
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.34
13
Предоставление контактной информации для связи по вопросам обмена ЭС и сведений о ее изменении
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.37
14
Направление обращений в Банк по вопросам обмена ЭС
<наименование подразделения Банка>, <номер телефона подразделения Банка>, <адрес электронной почты подразделения Банка>
<дд-мм-гггг>
2.40

1. Сведения для взаимодействия с Клиентом при обмене ЭС, составленные по выше приведенной форме, направляются Клиенту в письменном виде в день передачи Договора.

2. Изменения Сведений для взаимодействия с Клиентом при обмене ЭС направляются Клиенту за два рабочих дня до даты начала их применения.